Искусственный интеллект порождает новый класс изощренных, масштабируемых и скрытных атак на цепочки поставок программного обеспечения. Традиционные методы защиты не способны противостоять этим угрозам, что требует немедленного внедрения стратегий и инструментов, адаптированных к реалиям ИИ. За последний год количество вредоносных пакетов, загруженных в репозитории с открытым исходным кодом, выросло на 156%.
Вредоносное ПО, созданное с помощью ИИ, обладает принципиально новыми характеристиками. Оно является полиморфным по умолчанию, то есть каждый его экземпляр структурно уникален. Оно контекстно-зависимо, что позволяет ему обнаруживать и обходить аналитические среды, такие как песочницы. Злонамеренный код семантически маскируется под легитимную функциональность, а также способен длительное время оставаться в неактивном состоянии, чтобы избежать обнаружения на ранних этапах.
Атаки с использованием таких технологий уже происходят. Группировка NullBulge в 2024 году использовала репозитории на Hugging Face и GitHub для атак на ИИ-инструменты и игровое ПО. В частности, было скомпрометировано расширение ComfyUI_LLMVISION на GitHub, через которое с помощью полезной нагрузки на Python данные похищались через веб-хуки Discord и доставлялся кастомизированный вирус-вымогатель LockBit. Другим примером служит инцидент с PyTorch, когда вредоносный пакет
Разнообразие векторов атак демонстрирует инцидент, произошедший 2 декабря 2024 года, когда была скомпрометирована библиотека
Традиционные инструменты безопасности, основанные на сигнатурах и статическом анализе, неэффективны против постоянно меняющихся угроз. Согласно отчету IBM за 2025 год, для выявления утечки данных в среднем требуется 276 дней, а для ее сдерживания — еще 73 дня. Атака на цепочку поставок 3CX в 2023 году, затронувшая 600 000 компаний, включая American Express и Mercedes-Benz, наглядно продемонстрировала эту проблему: каждая полезная нагрузка была уникальной, что делало сигнатурный анализ бесполезным. Анализ вредоносных кампаний на PyPI, проведенный MITRE, также выявил сложную обфускацию кода, характерную для автоматической генерации.
Искусственный интеллект используется на всех этапах жизненного цикла атаки. Так называемые "SockPuppet"-атаки включают создание ИИ правдоподобных профилей разработчиков с полной историей на GitHub и Stack Overflow для завоевания доверия перед внедрением вредоносного кода. ИИ также позволяет массово создавать тысячи вредоносных пакетов с обманчивыми именами в рамках атак методом тайпсквоттинга, как было зафиксировано в 2024 году с пакетами
Для противодействия этим угрозам формируется новая оборонительная парадигма. Она включает в себя ИИ-специфическое обнаружение, где искусственный интеллект используется для выявления вредоносного кода, сгенерированного другим ИИ. Проект Google OSS-Fuzz применяет статистический анализ для идентификации таких паттернов. Другой метод — анализ поведенческого происхождения, который изучает метаданные вклада в код («кто, что, когда и как»), включая шаблоны коммитов и лингвистический анализ, для выявления подозрительной активности.
Стратегия «клин клином вышибают» предполагает использование оборонительного ИИ для проактивного поиска угроз. Примерами таких инструментов являются Counterfit от Microsoft и AI Red Team от Google. Концепция защиты в реальном времени с нулевым доверием (Zero-Trust Runtime Defense), пионером которой стала компания Netflix, исходит из того, что взлом неизбежен, и фокусируется на сдерживании угроз в момент их исполнения с помощью технологии Runtime Application Self-Protection (RASP). Наконец, для усложнения автоматизированных атак внедряются механизмы верификации человека, такие как требование GPG-подписанных коммитов на GitHub, в рамках движения "proof of humanity".
Необходимость внедрения новых мер защиты подкрепляется жесткими регуляторными требованиями. Ключевым законодательным актом является EU AI Act, который устанавливает строгую ответственность для организаций за ущерб, причиненный развернутыми ими ИИ-системами. Закон требует прозрачности в документировании использования ИИ, регулярной оценки рисков и уведомления о нарушениях, связанных с ИИ, в течение 72 часов. Штрафы за серьезные нарушения могут достигать 35 миллионов евро или 7% от мирового годового оборота компании.
Реагировать на угрозы необходимо незамедлительно. Первоочередные шаги включают аудит зависимостей на предмет вариантов тайпсквоттинга и активацию обязательной подписи коммитов для критически важных репозиториев. В краткосрочной перспективе следует внедрить инструменты поведенческого анализа в конвейер CI/CD и развернуть защиту приложений в реальном времени. Долгосрочная стратегия должна предусматривать интеграцию ИИ-специфичных средств обнаружения угроз, разработку формализованного плана реагирования на инциденты, связанные с ИИ, и приведение всех мер безопасности в соответствие с регуляторными нормами, такими как EU AI Act.
Изображение носит иллюстративный характер
Вредоносное ПО, созданное с помощью ИИ, обладает принципиально новыми характеристиками. Оно является полиморфным по умолчанию, то есть каждый его экземпляр структурно уникален. Оно контекстно-зависимо, что позволяет ему обнаруживать и обходить аналитические среды, такие как песочницы. Злонамеренный код семантически маскируется под легитимную функциональность, а также способен длительное время оставаться в неактивном состоянии, чтобы избежать обнаружения на ранних этапах.
Атаки с использованием таких технологий уже происходят. Группировка NullBulge в 2024 году использовала репозитории на Hugging Face и GitHub для атак на ИИ-инструменты и игровое ПО. В частности, было скомпрометировано расширение ComfyUI_LLMVISION на GitHub, через которое с помощью полезной нагрузки на Python данные похищались через веб-хуки Discord и доставлялся кастомизированный вирус-вымогатель LockBit. Другим примером служит инцидент с PyTorch, когда вредоносный пакет
torchtriton в репозитории PyPI проник в тысячи систем и похитил конфиденциальные данные из сред машинного обучения. Разнообразие векторов атак демонстрирует инцидент, произошедший 2 декабря 2024 года, когда была скомпрометирована библиотека
@solana/web3.js в npm. В результате фишинговой кампании злоумышленники получили доступ к учетной записи с правом публикации и выпустили вредоносные версии 1.95.6 и 1.95.7. Встроенный бэкдор был предназначен для кражи приватных ключей и криптовалютных кошельков, что привело к потере от 160 000 до 190 000 долларов в течение пяти часов. Уязвимости могут скрываться и в самих приложениях: в сентябре 2025 года в программе Wondershare RepairIt были обнаружены жестко закодированные облачные учетные данные, что открывало злоумышленникам доступ к данным пользователей и возможность модифицировать ИИ-модели для атак на клиентов. Традиционные инструменты безопасности, основанные на сигнатурах и статическом анализе, неэффективны против постоянно меняющихся угроз. Согласно отчету IBM за 2025 год, для выявления утечки данных в среднем требуется 276 дней, а для ее сдерживания — еще 73 дня. Атака на цепочку поставок 3CX в 2023 году, затронувшая 600 000 компаний, включая American Express и Mercedes-Benz, наглядно продемонстрировала эту проблему: каждая полезная нагрузка была уникальной, что делало сигнатурный анализ бесполезным. Анализ вредоносных кампаний на PyPI, проведенный MITRE, также выявил сложную обфускацию кода, характерную для автоматической генерации.
Искусственный интеллект используется на всех этапах жизненного цикла атаки. Так называемые "SockPuppet"-атаки включают создание ИИ правдоподобных профилей разработчиков с полной историей на GitHub и Stack Overflow для завоевания доверия перед внедрением вредоносного кода. ИИ также позволяет массово создавать тысячи вредоносных пакетов с обманчивыми именами в рамках атак методом тайпсквоттинга, как было зафиксировано в 2024 году с пакетами
openai-official и tensorfllow. Кроме того, злоумышленники могут внедрять бэкдоры в модели машинного обучения на этапе их обучения (отравление данных), о чем свидетельствуют исследования Anthropic Research, и использовать ИИ для автоматизированного социального инжиниринга, создавая убедительные запросы на слияние и комментарии для обмана разработчиков. Для противодействия этим угрозам формируется новая оборонительная парадигма. Она включает в себя ИИ-специфическое обнаружение, где искусственный интеллект используется для выявления вредоносного кода, сгенерированного другим ИИ. Проект Google OSS-Fuzz применяет статистический анализ для идентификации таких паттернов. Другой метод — анализ поведенческого происхождения, который изучает метаданные вклада в код («кто, что, когда и как»), включая шаблоны коммитов и лингвистический анализ, для выявления подозрительной активности.
Стратегия «клин клином вышибают» предполагает использование оборонительного ИИ для проактивного поиска угроз. Примерами таких инструментов являются Counterfit от Microsoft и AI Red Team от Google. Концепция защиты в реальном времени с нулевым доверием (Zero-Trust Runtime Defense), пионером которой стала компания Netflix, исходит из того, что взлом неизбежен, и фокусируется на сдерживании угроз в момент их исполнения с помощью технологии Runtime Application Self-Protection (RASP). Наконец, для усложнения автоматизированных атак внедряются механизмы верификации человека, такие как требование GPG-подписанных коммитов на GitHub, в рамках движения "proof of humanity".
Необходимость внедрения новых мер защиты подкрепляется жесткими регуляторными требованиями. Ключевым законодательным актом является EU AI Act, который устанавливает строгую ответственность для организаций за ущерб, причиненный развернутыми ими ИИ-системами. Закон требует прозрачности в документировании использования ИИ, регулярной оценки рисков и уведомления о нарушениях, связанных с ИИ, в течение 72 часов. Штрафы за серьезные нарушения могут достигать 35 миллионов евро или 7% от мирового годового оборота компании.
Реагировать на угрозы необходимо незамедлительно. Первоочередные шаги включают аудит зависимостей на предмет вариантов тайпсквоттинга и активацию обязательной подписи коммитов для критически важных репозиториев. В краткосрочной перспективе следует внедрить инструменты поведенческого анализа в конвейер CI/CD и развернуть защиту приложений в реальном времени. Долгосрочная стратегия должна предусматривать интеграцию ИИ-специфичных средств обнаружения угроз, разработку формализованного плана реагирования на инциденты, связанные с ИИ, и приведение всех мер безопасности в соответствие с регуляторными нормами, такими как EU AI Act.
